O que você faz quando os sites que visita negligenciam a segurança básica?

O que você faz quando os sites que visita negligenciam a segurança básica?

⌛ Reading Time: 3 minutes

Em 17 de março de 2016, WIRED publicou um artigo demonstrando preocupações de que 79 dos 100 principais sites não usam HTTPS. Isso não seria motivo de preocupação se não estivéssemos vivendo no século 21, uma época em que as redes Wi-Fi são tão onipresentes que você poderia literalmente triangular sua localização dentro de uma cidade usando-as. Esta é uma era em que redes públicas desprotegidas são a norma em lugares como bares, saguões de hotéis e aeroportos. Hacking também se tornou mais sofisticado desde o final do século XX. Usar HTTP não é mais uma opção para sites grandes ou pequenos, então qual é o problema? E como você se protege da vulnerabilidade de navegar na web (principalmente) não criptografada?

O que é HTTPS?

HTTPS é um padrão que se sobrepõe ao protocolo HTTP, adicionando criptografia a ele. Ao criptografar os dados que vão entre um visitante e um site, é menos viável detectar a atividade da rede. Basicamente, ele garante que a “conversa” do seu computador com o site que você visita seja bloqueada e privada, como deveria ser. É por isso que o padrão de criptografia é frequentemente aplicado a sites onde você troca dados altamente confidenciais, como PayPal, Facebook ou Google.

Por que os sites não estão usando isso?

Para a maior parte, usar HTTPS “de volta ao dia” era algo que exigia uma quantia significativa de investimento na forma de tempo e às vezes dinheiro. O HTTPS foi uma dor de cabeça para implementar, então apenas bancos e outras empresas que lidavam com dinheiro se preocupariam em adaptar seus sites para isso. Isso foi há vinte anos, no entanto. Hoje, implementar HTTPS em um site é mais parecido com uma configuração simples do que com o pesadelo caótico que costumava ser. Para um grande site com milhares de páginas, não é necessariamente algo que levaria mais de um dia para terminar. Pode ser necessário um pouco de tentativa e erro, entretanto, alguns resquícios do “fator dor de cabeça” ainda estão lá.

Para ser sincero, não vejo muito mal em algo como uma revista aberta (que não exige ou armazena nenhuma conta) usando o bom e velho HTTP. No entanto, qualquer site para o qual você forneça seus próprios dados deve definitivamente utilizá-lo.

Por que isso é perigoso para mim?

httpsite-sniffing

Se você alguma vez se conectar a redes Wi-Fi desprotegidas (do tipo que não pede uma senha ou chave), um hacker equipado com um simples sniffer pode ver cada bit de informação que seu computador envia para um site, a menos que esse site use HTTPS. Isso o deixa extremamente vulnerável ao vazamento de suas informações pessoais e, possivelmente, de algumas contas importantes. Se a senha que você usa para um site coincide com a de sua conta do PayPal (e o site usa HTTP), então não é uma conclusão precipitada que o hacker irá atirar por essa rota e terá acesso instantâneo à sua carteira online.

Como faço para me proteger?

Comecemos pelo princípio: você deve evitar fornecer dados pessoais a um site ou fazer login em qualquer conta em qualquer rede Wi-Fi pública, a menos que esse site use HTTPS **e** isto é absolutamente necessário para fazê-lo naquele momento específico. Na verdade, você deve evitar manter uma conta em um site que não use HTTPS. Os sites que não criptografam suas transações têm menos probabilidade de cuidar de suas informações pessoais. Fique atento e envie e-mails gentilmente para empresas que você conhece e possui sites sem criptografia.

Há mais alguma coisa que as pessoas devam fazer para evitar os problemas associados a sites não criptografados? Conte-nos em um comentário!